学位论文 > 优秀研究生学位论文题录展示
主机入侵防御中行为监控技术的研究与实现
作 者: 李辰
导 师: 卓新建
学 校: 北京邮电大学
专 业: 信息安全
关键词: 主机入侵防御 行为监控技术 钩子技术 规则库
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 190次
引 用: 3次
阅 读: 论文下载
内容摘要
随着计算机的广泛应用和网络的不断普及,来自网络内部与外部的危险和犯罪也日益增多。一方面网络感染病毒、遭受攻击的速度日益加快;另一方面网络受到攻击后作出响应的时间却越来越滞后,再加上Windows操作系统最初并没有太多地考虑到相关的安全性问题,混合威胁不断发展,传统的防火墙,入侵检测技术(IDS)和反病毒防御措施已经无能为力,如此迫切的形势要求我们果断采取措施,保护主机的安全性。信息安全防御体系要迫切呼唤与实现其主动防御功能,这既是计算机与网络安全发展的趋势所在,也是信息安全防御与保障系统的时代需要。主机的安全性主要体现在主机的防御系统方面,因此解决这一矛盾需要我们将网络安全研究方向的重点转移到主机入侵防御系统,其核心技术就是行为监控技术。本篇论文中首先总结了现有网络安全威胁的情况,分析了安全行业针对现有网络安全威胁提出的网络安全解决方案,详细阐述了其不能完全满足现有网络安全需求的缘由。从分析恶意程序的一次简单攻击过程入手,详细说明了伴随此次攻击过程的Windows XP操作系统的底层驱动、内核服务、系统调用等一系列的操作。以此为基础全面剖析了在Windows XP操作系统下API的钩子技术,并且将工作重心紧紧集中于文件、注册表、进程等经常被病毒、木马、恶意软件、流氓软件等利用的系统资源监控方面。以上述内容为依托,研究了系统行为监控中涉及文件、注册表、进程等相关的具体细节与关键技术,提出了一种新的安全解决方案,即主机入侵防御系统。本项目依托于信息安全中心2007-2008年度的一项预研性的研究项目,从Windows XP操作系统平台上的安全技术研究入手,以此为基础提出了具有应用程序防御体系、注册表防御体系、文件防御体系的主机入侵防御系统,用户可以通过定制的规则对本地运行的进程、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。结合项目实践,对上面的研究成果进行了设计、实现,包括总体框架的设计,各个模块实现和最终的验证测试工作等等。最后,对系统行为监控的新技术与研究方向进行了展望。
|
全文目录
摘要 4-6 ABSTRACT 6-10 第一章 绪论 10-19 1.1 课题背景 10-11 1.2 国内外关于本课题的研究现状 11-16 1.2.1 主机入侵防御系统的分类 12-13 1.2.2 主机入侵防御系统的主要产品 13-15 1.2.3 主机入侵防御系统面临的发展障碍 15-16 1.3 本文的主要工作 16-17 1.4 本文的主要结构 17-19 第二章 网络安全解决方案 19-31 2.1 防火墙 19-21 2.1.1 防火墙的分类 20-21 2.1.2 防火墙技术的局限性 21 2.2 入侵检测 21-24 2.2.1 入侵检测的分类 22-23 2.2.2 入侵检测系统的局限性 23-24 2.3 反病毒软件 24-25 2.3.1 计算机病毒的特征 24-25 2.3.2 反病毒软件的工作原理 25 2.4 网络安全联合部署方案 25-27 2.5 网络安全解决方案分析 27-28 2.6 入侵防御系统的提出 28-31 第三章 主机入侵防御关键技术研究 31-44 3.1 恶意程序攻击过程分析 31-32 3.2 Windows OS API调用流程分析 32-36 3.2.1 Windows XP操作系统体系结构 32-34 3.2.2 Windows XP本机系统服务 34 3.2.3 Windows XP系统服务调用机制 34-35 3.2.4 Windows XP系统服务调用类型 35-36 3.3 API HOOK技术研究 36-42 3.3.1 用户层钩子 37-39 3.3.2 内核层钩子 39-42 3.4 本课题的行为监控方案 42-44 第四章 主机入侵防御系统行为监控的设计 44-65 4.1 系统行为监控框架设计 44-46 4.1.1 底层驱动模块 45-46 4.1.2 引擎模块 46 4.1.3 界面模块 46 4.2 行为监控模块的设计 46-53 4.2.1 进程监控模块 47-48 4.2.2 注册表监控模块 48-50 4.2.3 文件监控模块 50-52 4.2.4 行为监控模块的创新点 52-53 4.3 行为分析引擎中规则库的设计 53-62 4.3.1 规则库的设计原则 54 4.3.2 规则库外存的设计 54-59 4.3.3 规则库内存的设计 59-61 4.3.4 规则库设计的创新点 61-62 4.4 行为分析引擎中完整性保护的设计 62-65 4.4.1 完整性保护的引入 62-63 4.4.2 完整性保护的思想 63 4.4.3 完整性保护的设计 63-65 第五章 系统行为监控测试验证 65-73 5.1 测试验证的目的 65 5.2 测试验证过程 65 5.3 测试验证关键部分展示 65-72 5.3.1 文件监控测试用例 66-67 5.3.2 注册表监控测试用例 67-70 5.3.3 进程监控测试用例 70-72 5.4 测试结论 72-73 第六章 系统行为监控的应用展望 73-79 6.1 利用行为监控技术防止堆栈溢出 73-74 6.2 利用行为监控技术防止信息篡改 74-75 6.3 利用行为监控技术防止木马后门 75-76 6.4 利用行为监控技术进行进程中止保护 76-77 6.5 利用行为监控技术进行超级权限分割 77-79 结束语 79-81 参考文献 81-83 致谢 83-84 攻读学位期间发表的学术论文 84
|
相似论文
- Rootkit技术在第三方信息安全防护系统中的应用研究,TP309
- 计算机网络自诊断系统的研究及实现,TP393.06
- BBS舆情智能分析系统研究与实现,TP393.094
- 基于规则引擎的军事地理信息自定义查询技术研究与实现,P208
- 面向造船企业的业务规则库的构建,TP311.52
- 终端控制保护技术研究与系统设计,TP393.08
- 基于深度协议分析与动态规则集的MSN入侵检测引擎研究与实现,TP393.08
- 数据库网络服务行为分析与识别技术研究,TP311.13
- 基于主动数据库技术的社保审计动态监测预警研究,TP311.13
- 智能移动终端安全问题研究,TN929.53
- 面向经济普查项目需求的模糊中文地址匹配方法研究,P208
- 基于Chart算法的维吾尔语句法分析系统的设计与实现,TP391.1
- 多维包分类算法的研究与仿真,TP301.6
- 基于主机的小型入侵防御系统的研究与应用,TP393.08
- 钢铁企业能源管理系统智能优化调度研究,TF089
- 基于本体的高速切削加工工艺专家系统,TG506.1
- 教学网络的分布式入侵检测系统的研究与应用,TP393.08
- 中文分词算法的研究与实现,TP391.1
- IPv6校园网入侵检测系统的研究与实现,TP393.08
- 飞控系统机载代码静态安全检测系统的研究与开发,V249.1
- 基于GLR算法的维吾尔语句法分析研究,TP391.1
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|